エージェントが何を「検索しているか」に注目したことがあるか。
ServiceNow が HuggingFace で公開した研究 MosaicLeaks: Can your research agent keep a secret? は、ディープリサーチエージェントの見落とされがちな弱点を実測する。要点は三つある。①エージェントがウェブ検索に投げるクエリは、攻撃者の情報収集チャネルになりうる。②テストした複数の主要モデルで、プライベート情報の漏洩が頻繁に確認された。③性能のみを最適化したトレーニングは、漏洩をむしろ悪化させた。
論文が「モザイク効果」と呼ぶ現象がある。単体の検索クエリは無害に見えても、複数のクエリが積み重なると断片がつながり、プライベートな事実が再構成される。攻撃者は文書本体も、エージェントの推論過程も見る必要がない。外部に送出されたクエリのログを眺めるだけで済む。
従来のエンタープライズセキュリティは「エージェントが何を読むか」の制御に集中してきた。MosaicLeaks が示すのは、「何を外に投げるか」という別次元の攻撃面が存在するという事実だ。
ただし研究チームはこれを袋小路に終わらせていない。提案する PA-DR(Privacy-Aware Deep Research)は、強化学習の報酬設計にプライバシー保護を組み込む手法だ。結果は明快で、タスク精度(strict chain success)は 48.7% から 58.7% へ向上し、情報漏洩率は 34.0% から 9.9% まで低下した。精度とプライバシーのトレードオフは、少なくとも研究レベルでは崩れつつある。
エージェントを企業に組み込む際、クエリの外部送信はこれまで「検索機能の副産物」として扱われがちだった。しかしこの枠組みが実装評価に使われ始めれば、エージェントの導入基準に「クエリプライバシー」が明示される日は遠くない。エンタープライズ AI を選定する立場からすれば、確認すべき問いが一つ増えた。
出典: MosaicLeaks: Can your research agent keep a secret?(ServiceNow / HuggingFace, 2026年6月18日)
関連記事
- Securing the future of AI agents
- Using AI to help physicians diagnose rare genetic diseases affecting children
- Improving health intelligence in ChatGPT
参考文献
コメント